松浦研究室のメンバー
2026年5月現在
一覧
メンバー紹介
研究テーマ
Publications
-
細井琢朗,
松浦幹太.
Proof-of-Verification の実装負荷評価その1: Transaction の署名検証,
電子情報通信学会総合大会2024,
2024
[detail]
abstract
Bitcoin は blockchain 技術を用いることで,
信頼できる第三者無しに暗号通貨を実現している.
計算力を要する Proof-of-Work(PoW)に成功すると
次の block が生成できるため,
block 生成者は他の高負荷計算,
例えば transaction(Tx)の署名検証を省く動機を持つ.
これが行われた分,Bitcoin は健全性を落とす.
松浦が提案した Proof-of-Verification(PoV) は,
署名検証の証跡を block に含めることでこの動機を抑える方式である.
原理的には PoV 機能の追加で計算負荷の増加はほぼ無いが,
多数の Tx を扱う Bitcoin の実システムでは
実装して確認する必要がある.
我々はこの PoV を実装して計算負荷の計測を行い,
Tx の署名検証では事実上増加が無いことを確認した.
今後は block 生成と検証も実装し,
将来は PoV を前提とした省電力化の計測も行う予定である.
-
大橋盛徳,
張一凡,
細井琢朗,
松浦幹太.
DAGベース分散タイムスタンプ手法の検討,
第194回マルチメディア通信と分散処理・第100回コンピュータセキュリティ合同研究発表会,
pp.
online,
2023
[detail]
abstract
データ活用のニーズの高まりに伴い,
データの存在証明は金融取引の台帳管理と同様に重要となっている.
昨今で存在証明に使われることが多くなったブロックチェーンは,
仮想通貨を起点とした技術であり,
コンセンサスなどのセキュリティ対策や台帳の保存に多くの計算資源が必要である.
ブロックチェーンを活用した存在証明の利用者は,
これらのリソースに対して手数料を支払い利用する.
しかしながら,
データ操作ごとに手数料を支払い,
存在証明を取得することは現実的ではない.
そこで,
我々はDAGベースの分散タイムスタンプ手法を考案した.
本手法は,
ブロックチェーンのような統一的な状態生成を廃し,
ネイティブトークンを用いたインセンティブではなく,
自身のデータの存在証明確保をモチベーションとして,
ユーザ自身が提供する計算資源で動作することを目指した.
本稿では,
考案したDAGベースの分散タイムスタンプ手法について解説する.
-
細井琢朗,
松浦幹太.
POW型ブロックチェーン安全性証明の明示的定式化,
第174回マルチメディア通信と分散処理・第80回コンピュータセキュリティ合同研究発表会,
Vol.
80,
No.
8,
pp.
online,
2018
[detail]
abstract
Garayらが 2014年に行ったPOW型のブロックチェーンに対する安全性証明では、その結果得られた攻撃成功確率に、安全性に関わる可能性のあるパラメータが陽に書かれていないため、結果のパラメータ依存性を追うことができない。
また、安全性証明の中でいくつかの内部パラメータを理由なく特定の値に限定して証明が記述されている、という問題もある。
本研究では各パラメータを陽に記述しつつ上記の安全性証明をたどり直し、これらの問題を解決し、ブロックチェーン技術の安全性が持つパラメータ依存性を明らかにした。
その結果、POWの難易度と計算速度、全参加者数は証明される安全性にほぼ影響を与えないこと、全参加者数に占める正常参加者数、攻撃者数の割合は安全性に影響するが、相補的に働くことが分かった。
-
Kanta Matsuura,
Takurou Hosoi.
Mechanism Design of Data Sharing for Cybersecurity Research,
IPSI Transactions on Advanced Research,
Vol.
11,
No.
1,
pp.
35-40,
2015
[detail]
abstract
If we want to realize a scientific approach to cybersecurity, we need objective
and reproducible evaluation of security.
Although some of cryptographic
technologies have rigorous security proofs, a lot of cybersecurity technologies
rely on experimental evaluation which needs good datasets.
One may expect that
sharing such datasets would help at least the reproducibility of the evaluation.
At the same time, one may be afraid that effective mechanism design is difficult
because there have been a lot of studies on disincentive problems
(e.
g.
free-riding) associated with information sharing in cybersecurity.
However, the requirements and typical solutions for data sharing would be
different from those for information sharing.
In this paper, we comprehensively
discuss the features of "data sharing for cybersecurity research" based on a
systematic comparison with "information sharing for cybersecurity practice".
We
also report a Japanese case in the field of malware analysis.
One important finding is that considering human resource development is an
important factor in the activities associated with data sharing.
-
細井琢朗,
松浦幹太.
TCP再送タイマ管理の変更による低量DoS攻撃被害緩和の実験評価,
2014年コンピュータセキュリティシンポジウム(CSS2014)予稿集,
CD-ROM,
2014
[detail]
abstract
インターネットの重要な通信輻輳制御の一つである
TCP再送タイムアウト機構を悪用することで、
TCP通信に対して
低平均通信量でのDoS攻撃が可能になることが
既存研究で指摘されている。
我々はこの被害を緩和するような
再送タイマの管理方法の変更を以前に提案した。
また、
簡単な攻撃被害のモデルの下で
この提案方式の被害緩和効果を解析的に評価した。
本稿ではこの被害緩和効果を実験的に評価した結果を報告する。
The mechanism of TCP retransmission timeout
is essential to the Internet congestion control.
But existing research pointed out
that this mechanism allows DoS attack
with mean low-rate traffic.
We proposed a mitigation measure against this attack
by changing TCP retransmission timeout management,
and evaluated its mitigation analytically
under a simple attack damage model.
In this paper,
we report experimental evaluation results
about effectiveness of above attack mitigation.
-
Kanta Matsuura,
Takurou Hosoi.
Data Sharing for Cybersecurity Research and Information Sharing for Cybersecurity Practice,
The 8th International Workshop on Security (IWSEC2013),
2013
[detail]
abstract
When we want to realize a scientific approach to cybersecurity,
we need objective and reproducible evaluation of security properties.
Although some of cryptographic technologies have rigorous security proofs,
a lot of cybersecurity technologies rely on experimental security evaluation
which needs good datasets.
One may expect that sharing such datasets would help
at least the reproducibility of the evaluation.
At the same time, one may be afraid
that effective mechanism design is not trivial because there have been a lot of
studies on disincentive problems (e.
g.
free-riding) associated with information
sharing for cybersecurity practice.
However, the requirements and typical solutions
for data sharing would be different from those for information sharing.
In this poster,
we comprehensively discuss the features of data sharing for cybersecurity research
based on a systematic comparison with information sharing for cybersecurity practice.
We also identify some intrinsic limitations of the data sharing approach.
-
Takurou Hosoi,
Kanta Matsuura.
Effectiveness of a Change in TCP Retransmission Timer Management for Low-rate DoS Attack Mitigation and Attack Variants,
The 8th International Workshop on Security (IWSEC2013),
2013
[detail]
abstract
The mechanism of TCP retransmission timeout
is essential to the Internet congestion control.
But existing research pointed out
that this mechanism allows DoS attack
with low-rate mean traffic.
We proposed a change in TCP retransmission timeout management,
in which
length of TCP retransmission timer is increased
not to precisely twice of the prior timer length
in successive timeout waiting.
We investigate its effectiveness
in DoS attack mitigation analytically,
and some attack variants under this countermeasure.
-
細井琢朗,
松浦幹太.
TCP再送信タイマ管理の変更による低量DoS攻撃被害の緩和効果,
コンピュータセキュリティシンポジウム2013 (CSS2013),
CD-ROM,
2013
[detail]
abstract
インターネットにおける通信の輻輳制御として、
TCPの再送信タイムアウトの機構は大きく役立っている。
しかし既存研究で指摘されているように、
この機構は低平均通信量でのDoS攻撃を可能にする。
このDoS攻撃はTCP再送信タイマの長さが
連続するタイムアウト毎に二倍される点が被害を深刻にしている。
そこで本稿ではこの被害を緩和するような
再送信タイマの管理方法の変更と、
その場合の低量DoS攻撃の影響について検討する。
The mechanism of TCP retransmission timeout
is essential to the Internet congestion control.
But existing research pointed out
that this mechanism allows DoS attack
with low-rate mean traffic.
We proposed a change in TCP retransmission timeout management,
in which
length of TCP retransmission timer is increased
not to precisely twice of the prior timer length
in successive timeout waiting.
We investigate the effectiveness of above change
for DoS attack mitigation.
-
細井琢朗,
松浦幹太.
低量DoS攻撃を緩和するTCP再送信タイマ管理の一検討,
情報処理学会コンピュータセキュリティ研究会
(研究報告コンピュータセキュリティ(CSEC)),
Vol.
62,
No.
51,
pp.
1-5,
2013
[detail]
abstract
インターネットにおける通信の輻輳制御として、
TCPの再送信タイムアウトの機構は大きく役立っている。
しかし既存研究で指摘されているように、
この機構は低平均通信量でのDoS攻撃を可能にする。
このDoS攻撃はTCP再送信タイマの長さが
連続するタイムアウト毎に二倍される点が被害を深刻にしている。
そこで本稿ではこの被害を緩和するような
再送信タイマの管理方法の変更と、
その場合の低量DoS攻撃の影響について検討する。
-
細井琢朗,
松浦幹太.
待ち行列推定に基づくパケットロス攻撃検知の輻輳強度依存性,
情報処理学会コンピュータセキュリティ研究会
(情報処理学会研究報告コンピュータセキュリティ(CSEC)),
Vol.
60,
No.
28,
pp.
1-5,
2013
[detail]
abstract
ネットワーク内のルータを乗っ取って通信を操作する攻撃の一つに、
そのルータを通過する任意のパケットを削除し通信を妨害する、
パケットロス攻撃がある。
輻輳による通常のパケット廃棄がある中で
このパケットロス攻撃を高精度で検知する方式が
Mizrakらによって提案されたが、
その性能評価はまだ網羅されていない。
本稿では彼らの方式におけるパケットロス攻撃の検知性能について、
輻輳の程度に対する依存性を調べた結果を報告する。
-
松浦幹太,
細井琢朗.
セキュリティ評価基盤と周辺制度および活動に関する考察,
第59回情報処理学会コンピュータセキュリティ研究会,
Vol.
2012-CSEC-59,
2012
[detail]
abstract
情報セキュリティへの科学的なアプローチ(サイバーセキュリティサイエンス)では、
セキュリティ評価の客観性と再現性を確保することが重要である。
そのために求められる基盤や制度への要件は、
実務用と研究用でそれぞれの特徴があり、具体的なソリューションのあり方も異なる。
本稿では、それらを総括して
論じるとともに、国際的な視野も取り入れてマルウェア対策研究の分野における事例研究を行った結果をまとめる。
-
細井琢朗,
松浦幹太.
待ち行列推定に基づくパケットロス攻撃検知方式のパラメータ依存性について,
コンピュータセキュリティシンポジウム2012 (CSS2012),
Vol.
2012,
No.
3,
pp.
1-5 (CD-ROM),
2012
[detail]
abstract
ネットワーク内のルータを乗っ取って通信を操作する攻撃は、
ネットワーク制御面での攻撃と、
ネットワークデータ面での攻撃の二つに大別される。
後者では、
攻撃者は各種のパケットの送信が可能であるのみならず、
転送すべき任意のパケットを廃棄することができる。
このパケットロス攻撃は選択的に行うことで、
廃棄パケット量の少なさに対して
大きな被害を与える能力を持つ。
輻輳による通常のパケット廃棄がある中で
パケットロス攻撃を検知する技術が
Mizrakらによって提案されたが、
その性能評価はまだ網羅されていない。
本稿では彼らの方式における
不正規パケット廃棄の検知性能について、
幾つかのパラメータに対する依存性を検討する。
There are two main types of attacks
which manipulate network communication
by using a compromised router:
subverting the network control plane,
and subverting the network data plane.
The attacker of the latter type can
not only send any types of packets,
but also drop arbitrary packets.
This malicious packet loss
can selectively drop packets
which may lead to a severe threat
compared to the amount of packet losses.
Mizrak {\textit{et al.
}} proposed a detection method
of this attack
in a network with congestive legitimate packet losses,
but its comprehensive evaluation has not been done yet.
This paper examines the detection performance of their methods
against some of its parameters.
-
細井琢朗,
松浦幹太.
情報セキュリティ研究向けネットワークデータの配布における技術的課題の現状調査,
情報処理学会コンピュータセキュリティ研究会,
Vol.
2012-CSEC-56,
No.
04,
pp.
1-6,
2012
[detail]
abstract
侵入検知システムの研究向けに
作成された DARPA Datasets(1998 、 1999 、 2000)の
公開から10年、
日本ではマルウェア研究向けに CCC DATAset(2008 、 2009 、 2010 、 2011)の
配布が行われ、
多くの研究に寄与した。
この他にも近年、
PREDICT 、
WOMBAT 、
DETER など、
情報セキュリティ研究向けのネットワークデータを共通使用できる環境を整備し、
研究に役立てる活動が行われている。
本発表では、
これらの活動について
主に情報保護と安全性に関わる技術に注目し、
現状を調査した結果を報告する。
links
-
細井琢朗,
松浦幹太.
情報セキュリティ研究用ハニーポット通信データの一般頒布に向けた技術的要件の調査,
マルウェア対策研究人材育成ワークショップ2011 (MWS2011),
CD-ROM,
2011
[detail]
abstract
ネットワークセキュリティ分野の研究で利用される通信データは、
プライバシー情報や危険なデータを含む可能性があるため
ほとんどの場合公開されず、
研究成果の検証や類似研究の推進の壁となっている。
本研究では、
共通の研究用データセット CCC DATAset 2011 内
にも主要なデータとして含まれる、
ハニーポットの通信データを
セキュリティ研究向けに一般頒布することを考えた場合に、
その通信データに求められる技術的要件を、
安全性と有用性の観点から調査した。
また一例として、
CCC DATAset 2011 の「攻撃通信データ」で、
通信データ取得ホストの位置特定が目的と疑われる通信の検出を
簡便な方法で試みた。
links
-
Takurou HOSOI,
Kanta Matsuura.
Evaluation of the Common Dataset Used in Anti-Malware Engineering Workshop 2009,
Lecture Notes in Computer Science (Recent Advances in Intrusion Detection,
13th International Symposium on Recent Advances in Intrusion Detection: RAID 2010),
Vol.
6307,
pp.
496-497,
2010
-
竹森敬祐,
細井琢朗.
マルウェア : 10.コラム:MWS Cup 2009,
情報処理,
Vol.
51,
No.
3,
pp.
296-299,
2010
-
細井琢朗,
畑田充弘.
MWS Cup 2009 活動報告 ~競技用通信データ作成について~,
情報処理学会コンピュータセキュリティ研究会(情報処理学会研究報告),
Vol.
2009,
No.
85,
pp.
online,
2009
-
細井琢朗,
松浦幹太.
公開ネットワークログデータセットの調査とワーム検知数の変遷調査,
情報処理学会コンピュータセキュリティ研究会(情報処理学会研究報告),
Vol.
2009,
No.
20,
pp.
181-186,
2009
-
細井琢朗,
松浦幹太.
IPトレースバック技術に於ける誤探知率の扱いについて,
2008年暗号と情報セキュリティ・シンポジウム(SCIS2008)予稿集,
CD-ROM,
2008
-
Takuro Hosoi,
Kanta Matsuura,
Hideki Imai.
IP Trace Back by Packet Marking Method with Bloom Filters,
Proceedings of the 2007 IEEE International Carnahan Conference on Security Technology (2007 ICCST) 41st Annual Conference,
pp.
255-263,
2007
-
細井琢朗,
松浦幹太.
ランダムグラフを用いたIPトレースバックの誤探知率の評価について,
2007年暗号と情報セキュリティシンポジウム(SCIS2007)予稿集,
2007
-
細井琢朗,
松浦幹太,
今井秀樹.
暗号要素技術を用いない決定論的パケットマーキング法による単一パケットIPトレースバックについて,
2006年暗号と情報セキュリティ・シンポジウム(SCIS2006)予稿集(CD-ROM),
2006
-
細井琢朗,
松浦幹太,
今井秀樹.
Bloomフィルタを用いたパケットマーキング法によるIPトレースバックでの複数パケット利用追跡について,
コンピュータセキュリティシンポジウム(CSS)2005論文集,
情報処理学会シンポジウムシリーズ,
Vol.
2005-I,
No.
13,
pp.
91-96,
2005
-
細井琢朗,
松浦幹太,
今井秀樹.
Bloomフィルタを用いたパケットマーキング法によるIPトレースバックの擬陽性確率について,
2005年暗号と情報セキュリティ・シンポジウム(SCIS2005)予稿集,
Vol.
Ⅲ,
pp.
1555-1560,
2005
-
細井琢朗,
松浦幹太,
今井秀樹.
Bloomフィルタを用いたパケットマーキング法によるIPトレースバック,
コンピュータセキュリティシンポジウム(CSS)2004論文集,
情報処理学会シンポジウムシリーズ,
Vol.
2004-I,
No.
11,
pp.
181-186,
2004
-
細井琢朗,
松浦幹太,
今井秀樹.
IPデータグラムが正規に変換される場合のIPトレースバック技術について,
2004年暗号と情報セキュリティ・シンポジウム(SCIS2004)予稿集,
Vol.
2,
pp.
1369-1373,
2004
研究テーマ
Publications
-
Kensuke Tamura,
Kanta Matsuura.
Improvement of Anomaly Detection Performance using Packet Flow Regularity in Industrial Control Networks,
IEICE Transactions on Fundamentals of Electronics,
Communications and Computer Sciences,
Vol.
E102-A,
No.
1,
pp.
65-73,
2019
[detail]
abstract
Since cyber attacks such as cyberterrorism against Industrial
Control Systems (ICSs) and cyber espionage against companies managing
them have increased, the techniques to detect anomalies in early
stages are required.
To achieve the purpose, several studies have developed
anomaly detection methods for ICSs.
In particular, some techniques
using packet flow regularity in industrial control networks have achieved
high-accuracy detection of attacks disrupting the regularity, i.
e.
normal
behavior, of ICSs.
However, these methods cannot identify scanning attacks
employed in cyber espionage because the probing packets assimilate
into a number of normal ones.
For example, the malware called Havex is
customized to clandestinely acquire information from targeting ICSs using
general request packets.
The techniques to detect such scanning attacks
using widespread packets await further investigation.
Therefore, the goal of
this study was to examine high performance methods to identify anomalies
even if elaborate packets to avoid alert systems were employed for attacks
against industrial control networks.
In this paper, a novel detection model
for anomalous packets concealing behind normal traffic in industrial control
networks was proposed.
For the proposal of the sophisticated detection
method, we took particular note of packet flow regularity and employed the
Markov-chain model to detect anomalies.
Moreover, we regarded not only
original packets but similar ones to them as normal packets to reduce false
alerts because it was indicated that an anomaly detection model using the
Markov-chain suffers from the ample false positives affected by a number
of normal, irregular packets, namely noise.
To calculate the similarity between
packets based on the packet flow regularity, a vector representation
tool called word2vec was employed.
Whilst word2vec is utilized for the
calculation of word similarity in natural language processing tasks, we applied
the technique to packets in ICSs to calculate packet similarity.
As a
result, the Markov-chain with word2vec model identified scanning packets
assimilating into normal packets in higher performance than the conventional
Markov-chain model.
In conclusion, employing both packet flow
regularity and packet similarity in industrial control networks contributes
to improving the performance of anomaly detection in ICSs.
-
田村研輔,
松浦幹太.
制御システムにおける通信の規則性を利用した異常検知,
2018年暗号と情報セキュリティシンポジウム(SCIS2018)予稿集,
USB,
2018
[detail]
abstract
重要インフラ事業者等が運用する制御システムに対するサイバー攻撃が発生し、早期に異常を検知する
仕組みが必要となっている。
制御システムにおける異常検知手法は、システムの動作に不可欠なプロセスや
通信のみ許可するホワイトリストを使用したものや単位時間当たりの通信量に着目したものが提案されてきた。
これらの手法は、制御システムのプロセスや通信が周期的であることや通信量の変動が微小であるという
特徴を利用している。
しかし、制御システムに対するサイバー攻撃は、稼働中の機器や構成を把握する
ための調査が長時間かけて行われ、その結果に応じて深刻な攻撃が行われるケースが想定されている。
この場合、制御システムのプロセスには影響を与えず、通信量も大きく変動させずに攻撃が行われるため、
従来の手法での検知は困難である。
そこで、本稿では、時系列的に規則性を有する制御システムの通信を
自然言語に見立て、単語の類似性を評価するword2vecを制御システムの通信に適用して異常検知を行う。
具体的には、学習データから予測される通信及びそれに類似した通信と実際の通信が異なる場合に異常
として検出する手法を評価する。
研究テーマ
Publications
-
Haocheng Jiang,
Iifan Tyou,
Kanta Matsuura.
TLS2VC: A DecentralizedWebProof Framework Enabling Verifiable Credentials for TLS Sessions,
The 41st ACM/SIGAPP Symposium on Applied Computing (SAC 2026),
pp.
405-407,
2026
[detail]
abstract
This work proposes TLS2VC, a decentralized WebProof framework that distributes trust across multiple Notaries.
Notaries attest to TLS session authenticity-server identity and encrypted transcript integrity - without accessing plaintext, then issue Verifiable Credentials (VCs) that Verifiers can validate.
To prevent concentration of malicious Notaries, we employ verifiable random selection via Verifiable Random Function (VRF) combined with threshold signatures.
We provide probabilistic security analysis showing that honest Notaries are included with high probability, and derive formulas to compute the minimum number of Notaries k required for a target security level.
A lightweight prototype demonstrates practical feasibility, enabling reuse of existing web information as trusted credentials in Web3 and self-sovereign identity environments.
-
姜皓程、張一凡、松浦幹太.
インセンティブ設計による委員会選出型コンセンサスのSybil 耐性強化と委員会サイズ削減,
2026年 暗号と情報セキュリティシンポジウム (SCIS2026) 予稿集,
2026
[detail]
abstract
委員会選出型のコンセンサスプロトコルでは,ランダムに選出される委員会の多数決・閾値署名などによりコンセンサスを達成する一方,攻撃ノード比率を保守的に見積もるほど所望の安全性を満たすために必要な委員会サイズが増大し,遅延や運用コストが問題となる.
本研究は,ステーキングとスラッシング,およびレピュテーションを統合したインセンティブメカニズムにより,攻撃者の予算制約と違反時の期待損失に基づいて実効攻撃率qeff を内生的に低減する委員会選出モデルを提案する.
さらに,得られたqeff に基づき委員会の失敗確率を評価し,従来の委員会設計と同等のセキュリティ要件を維持しつつ必要な委員会サイズを大幅に削減できることを理論的および数値的に示す.
本稿は,委員会ベースコンセンサスにおけるSybil 耐性とスケーラビリティを両立するためのインセンティブ設計手法を示す.
-
張一凡,
姜皓程,
大橋 盛徳,
松浦 幹太.
VDR-Proof: 利用者によるVerifiable Data Registryの状態証明,
2026年暗号と情報セキュリティシンポジウム
(SCIS2026)予稿集,
Vol.
2026,
2026
[detail]
abstract
IDの自己主権化Self-Sovereign Identity(SSI)の普及に向け,Verifiable Data Registry(VDR)の重要性が高まっている.
特に一組織で運用できる軽量VDR(例:did:web)はブロックチェーンを用いないため導入が容易である一方,運用者による改ざんや削除に対する検知手段を欠いている.
本研究では,TLS2VCの手法をベースとし,集権的なVDRに対しても分散信頼に基づく検証可能性を実現するVDR-Proofを提案する.
VDRユーザ自身が分散Notaryとして機能し,VRFベースの選出とMutual-consistency verificationにより,VDR運用者と独立した外部コンセンサスを構築する.
提案プロトコルの安全性を形式的に証明し,想定条件(攻撃者割合q <= 1/3,攻撃成功確率ε = 2^{-30})の下で必要Notary数を$k=19$に削減できることを示した.
プロトタイプ実装により,Notaryの負荷は平均約23ms/要求・メモリ約370MB,Verifierの検証時間は単一時点約4.
2msと十分に軽量であることを確認した.
結果として,ブロックチェーン維持コストを要さずに改ざん検知可能な軽量VDRを実現する.
-
張一凡,
松浦 幹太.
Adaptor SignatureとTrapdoor Commitmentを用いたVerifiable Credentialによる条件達成証明方式,
2025年コンピュータセキュリティシンポジウム(CSS2025)予稿集,
Vol.
2025,
2025
[detail]
abstract
近年,自己主権型のユーザ属性証明技術としてVerifiable Credential(VC)が注目されている.
VCは発行者が対象者に対して静的な属性や状態を記載・証明する仕組みであり,既存方式では条件達成や達成時の追加情報といった動的な事実の証明は困難であった.
たとえば,商品の保証期間をVCとして発行することは可能だが,実際の使用開始日など行動に基づく情報を後から安全に組み込むことはできず,VCの再発行が必要となる.
本研究では,動的な条件達成を安全に証明できる新たなVC発行・検証手法を提案する.
提案手法は,条件成立時に未完成署名を正式署名へ変換可能とするAdaptor SignatureをベースにTrapdoor CommitmentおよびVerifiable Data Registry(VDR)を統合的に利用する.
これにより,商品の到着日から効力を持つ保証書など,ユーザ行動に応じた動的なVCを安全に発行できる.
本手法により,VCの証明対象は記載内容だけではなく,VC発行後の条件達成やその達成内容へと拡張できる.
-
姜皓程,
張一凡,
松浦幹太.
TLS2VC: Web通信の真正性をVerifiable Credentialとして証明可能にする分散WebProof方式,
TLS2VC: A Decentralized WebProof Framework Enabling Verifiable Credential for TLS Sessions,
2025年コンピュータセキュリティシンポジウム(CSS2025)予稿集,
pp.
1096-1103,
2025
-
Iifan Tyou,
Ryuya Hayashi,
Kanta Matsuura.
Interoperability between Permissioned Distributed Ledgers without External Trust Anchor,
IEEE International Conference on Blockchain and Cryptocurrency,
Vol.
2025,
2025
[detail]
abstract
Permissioned ledgers offer efficient, cost-effective alternatives to public blockchains, ideal for enterprises.
However, secure interoperability remains challenging without external trust anchors.
We propose a scheme that eliminates this reliance, ensuring data correctness and verifiability via digital signatures and vector commitments, resisting forgery and ledger committee collusion.
-
張一凡,
松浦 幹太.
2者間ECDSAアダプター署名を用いたオフチェーン分散台帳処理,
2025年暗号と情報セキュリティシンポジウム
(SCIS2025)予稿集,
2025
-
Iifan Tyou,
Shigenori Ohashi,
Justin Yu,
Takayuki Miura,
Takuro Hosoi,
Kanta Matsuura.
Leveraging Timestamps to Create Secure and Feeless Evidence Management,
IEEE International Conference on Blockchain,
Vol.
7th,
2024
-
張一凡,
林 リウヤ,
松浦 幹太.
外部トラストアンカーを必要としないPermissioned分散台帳間の相互接続,
コンピュータセキュリティシンポジウム(CSS2024)予稿集,
pp.
666,
2024
-
大橋盛徳,
張一凡,
細井琢朗,
松浦幹太.
DAGベース分散タイムスタンプ手法の検討,
第194回マルチメディア通信と分散処理・第100回コンピュータセキュリティ合同研究発表会,
pp.
online,
2023
[detail]
abstract
データ活用のニーズの高まりに伴い,
データの存在証明は金融取引の台帳管理と同様に重要となっている.
昨今で存在証明に使われることが多くなったブロックチェーンは,
仮想通貨を起点とした技術であり,
コンセンサスなどのセキュリティ対策や台帳の保存に多くの計算資源が必要である.
ブロックチェーンを活用した存在証明の利用者は,
これらのリソースに対して手数料を支払い利用する.
しかしながら,
データ操作ごとに手数料を支払い,
存在証明を取得することは現実的ではない.
そこで,
我々はDAGベースの分散タイムスタンプ手法を考案した.
本手法は,
ブロックチェーンのような統一的な状態生成を廃し,
ネイティブトークンを用いたインセンティブではなく,
自身のデータの存在証明確保をモチベーションとして,
ユーザ自身が提供する計算資源で動作することを目指した.
本稿では,
考案したDAGベースの分散タイムスタンプ手法について解説する.
研究テーマ
Publications
-
Yuichi Tanishita,
Ryuya Hayashi,
Ryu Ishii,
Takahiro Matsuda,
Kanta Matsuura.
Updatable Encryption Secure against Randomness Compromise,
IEICE Transactions on Fundamentals of Electronics,
Communications
and Computer Sciences,
Vol.
E109-A,
No.
3,
2026
[detail]
abstract
Updatable encryption (UE) allows a third-party server to update outsourced encrypted data without exposing keys and plaintexts.
The server can update ciphertexts to ones under a new key using an update token provided by the client.
UE can realize efficient key rotation and is effective against key compromise.
The standard security notions of UE capture the property that even if keys or update tokens are compromised, the confidentiality of messages is maintained by the key update and ciphertext update.
In general, the randomnesses used in the encryption and ciphertext update algorithms must be kept secret in the same way as the keys.
On the other hand, while key compromise is considered in existing security notions, randomness compromise is not.
In this paper, we define a new security notion for UE, IND-UE-R security, that is resilient to the compromise of randomnesses used to generate or update ciphertexts.
Furthermore, we prove that the UE construction RISE (EUROCRYPT'18) satisfies our proposed security notion.
-
Yuichi Tanishita,
Ryuya Hayashi,
Ryu Ishii,
Takahiro Matsuda,
Kanta Matsuura.
On the Implications from Updatable Encryption to Public-Key Cryptographic Primitives,
IEICE Transactions on Fundamentals of Electronics,
Communications
and Computer Sciences,
Vol.
E109-A,
No.
3,
2026
[detail]
abstract
Updatable encryption (UE) is a special type of symmetric-key encryption (SKE) that allows a third party to update ciphertexts while protecting plaintexts.
Alamati et al.
(CRYPTO 2019) showed a curious connection between UE and public-key encryption (PKE) that PKE can be constructed from UE.
This implication result is somewhat surprising since it is well-known that PKE cannot be constructed from (ordinary) SKE in a black-box manner.
In this paper, we continue to study the relationships between UE and other cryptographic primitives to obtain further insights into the existence and power of UE, and assumptions required for it.
More specifically, we introduce some security properties that are natural to consider for UE (and are indeed satisfied by some existing UE schemes), and then investigate what types of public-key cryptographic primitives can be constructed from UE with the additional properties.
Specifically, we show the following results:
- 2-round oblivious transfer (OT) can be constructed from UE that satisfies the oblivious samplability of original ciphertexts (i.
e.
those generated by the ordinary encryption algorithm, as opposed to those generated by the ciphertext-update algorithm) and the oblivious samplability of update tokens (that are used for updating ciphertexts).
- 3-round OT can be constructed from UE with the oblivious samplability of updated ciphertexts (i.
e.
those generated by the ciphertext-update algorithm).
- Lossy encryption and PKE secure against selective-opening attacks can be constructed from UE if it satisfies what we call statistical confidentiality of original ciphertexts.
IND-CPA secure PKE can be constructed from another variant of UE, ciphertext-dependent UE, if its algorithm to generate an update token is deterministic.
-
谷下友一,
松田隆宏,
松浦幹太.
送信者アナモルフィック暗号の安全性定義の再考,
Revisiting the Security Notion for Sender-Anamorphic Encryption,
2025年 暗号と情報セキュリティシンポジウム (SCIS2025) 予稿集,
2025
[detail]
abstract
送信者アナモルフィック暗号(Sender-Anamorphic Encryption)は,暗号化されたメッセージとは異なるメッセージを暗号文に埋め込む技術であり,権力者等によって送信者の意に反するメッセージの送信が強制されても,送信者が真に送りたいメッセージを権力者等に知られずに送ることが可能となる.
ここで想定される具体的な状況は,権力者等が送信者に暗号文の生成に用いた公開鍵,平文,内部乱数の提出を求め,強制されたメッセージの暗号化を正しく行ったことを説明させるというものである.
Persiano ら(Eurocrypt 2022)は,この状況を捉えた送信者アナモルフィック暗号の安全性の定式化を行い,これを基にWang ら(Asiacrypt 2023)は$\ell$-送信者アナモルフィック暗号とその安全性の定式化を行った.
しかし,これら既存研究での安全性定義では攻撃者にチャレンジ暗号文生成に用いる乱数が渡されないため,想定される脅威を十分に捉えられていない.
そこで本研究では,攻撃者にチャレンジ暗号文の生成に用いる乱数が渡るよう安全性の再定義を行う.
そして,構成要素技術の仮定を変更したWang らの方式が新しい安全性を満たすことを示す.
-
Yuichi Tanishita,
Ryuya Hayashi,
Ryu Ishii,
Takahiro Matsuda,
Kanta Matsuura.
Updatable Encryption Secure Against Randomness Compromise,
Lecture Notes in Computer Science (Cryptology and Network Security,
23rd International Conference,
CANS 2024),
Vol.
14906,
No.
1,
pp.
47-69,
2024
[detail]
abstract
Updatable encryption (UE) allows a third-party server to update outsourced encrypted data without exposing keys and plaintexts.
The server can update ciphertexts to ones under a new key using an update token provided by the client.
UE can realize efficient key rotation and is effective against key compromise.
The standard security notions of UE capture the property that even if keys or update tokens are compromised, the confidentiality of messages is maintained by the key update and ciphertext update.
In general, the randomnesses used in the encryption and ciphertext update algorithms must be kept secret in the same way as the keys.
On the other hand, while key compromise is considered in existing security notions, randomness compromise is not.
In this paper, we define a new security notion for UE, IND-UE-R security, that is resilient to the compromise of randomnesses used to generate or update ciphertexts.
Furthermore, we prove that the UE construction RISE (EUROCRYPT'18) satisfies our proposed security notion.
-
Yuichi Tanishita,
Ryuya Hayashi,
Ryu Ishii,
Takahiro Matsuda,
Kanta Matsuura.
On the Implications from Updatable Encryption to Public-Key Cryptographic Primitives,
Lecture Notes in Computer Science (Information Security and Privacy,
The 29th Australasian Conference on Information Security and Privacy: ACISP2024),
Vol.
14895,
No.
1,
pp.
303-323,
2024
[detail]
abstract
Updatable encryption (UE) is a special type of symmetric-key encryption (SKE) that allows a third party to update ciphertexts while protecting plaintexts.
Alamati et al.
(CRYPTO 2019) showed a curious connection between UE and public-key encryption (PKE) that PKE can be constructed from UE.
This implication result is somewhat surprising since it is well-known that PKE cannot be constructed from (ordinary) SKE in a black-box manner.
In this paper, we continue to study the relationships between UE and other cryptographic primitives to obtain further insights into the existence and power of UE, and assumptions required for it.
More specifically, we introduce some security properties that are natural to consider for UE (and are indeed satisfied by some existing UE schemes), and then investigate what types of public-key cryptographic primitives can be constructed from UE with the additional properties.
Specifically, we show the following results:
- 2-round oblivious transfer (OT) can be constructed from UE that satisfies the \emph{oblivious samplability (OS)} of original ciphertexts (i.
e.
those generated by the ordinary encryption algorithm, as opposed to those generated by the ciphertext-update algorithm) and the OS of update tokens (that are used for updating ciphertexts).
- 3-round OT can be constructed from UE with OS of updated ciphertexts (i.
e.
those generated by the ciphertext-update algorithm).
- Lossy encryption and PKE secure against selective-opening attacks can be constructed from UE if it satisfies what we call \emph{statistical confidentiality of original ciphertexts}.
-
谷下友一,
林リウヤ,
石井龍,
松田隆宏,
松浦幹太.
暗号文の生成・更新に用いる乱数の漏洩に耐性を持つ更新可能暗号,
Updatable Encryption Resilient to Encryption/Update Randomness Leakage,
2024年 暗号と情報セキュリティシンポジウム (SCIS2024) 予稿集,
2024
[detail]
abstract
更新可能暗号(Updatable Encryption, UE)は,第三者に平文や鍵を秘匿しながら
暗号文の更新を委託可能な技術であり,鍵の漏洩への対処として有用である.
UEの標準的な安全性は,鍵や更新トークンの漏洩が発生しても,
鍵更新処理と暗号文更新処理によって平文の秘匿性が保持されることを捉えている.
一般に,暗号化や暗号文更新処理に用いる乱数は,鍵と同様に秘匿される.
一方で鍵の漏洩は既存の安全性で考慮されているが,乱数の漏洩は考慮されていない.
本研究では,更新前暗号文の生成に用いる乱数の漏洩にも耐性をもつ更新可能暗号の安全性を新たに定義する.
さらに,DDH仮定のもとで新たに定義した安全性を満たすUEの具体的な方式を示す.
-
谷下友一,
林リウヤ,
松田隆宏,
松浦幹太.
更新可能暗号と公開鍵系の暗号要素技術の関係について,
On the Implication from Updatable Encryption to Public-Key Cryptographic Primitives,
2023年コンピュータセキュリティシンポジウム(CSS2023)予稿集,
pp.
447-454,
2023
[detail]
abstract
更新可能暗号(UE)は,第三者に平文を秘匿しながら暗号文の更新を委託できる共通鍵系の暗号技術である.
Alamatiら(CRYPTO 2019)は, UEから公開鍵暗号を構成できることを示した.
Alamatiらの結果により,U Eを構成するためには, 少なくとも公開鍵暗号を構成するために
必要な仮定と同等以上の仮定が必要となることが明らかとなった.
本稿では, UEを実現するために必要な仮定に関して更なる知見を得るために, UEと他の暗号要素技術の関係を調べ,
次の2つの構成可能性に関する含意関係を新たに明らかにした.
(1)暗号化処理によって生成された暗号文と更新トークンがOblivious Samplability(OS)と呼ばれる
自然な性質を満たすUEから2ラウンドの紛失通信が構成可能である.
(2)暗号文更新処理によって生成された暗号文がOSを満たすUEから3ラウンドの紛失通信が構成可能である.
研究テーマ
Publications
-
浅野泰輝,
林リウヤ,
林田淳一郎,
松田隆宏,
山田翔太,
勝又秀一,
坂井祐介,
照屋唯紀,
シュルツヤコブ,
アッタラパドゥンナッタポン,
花岡悟一郎,
松浦幹太,
松本勉.
「モノの電子署名」の複数物体への拡張,
Extension of "Signature for Objects" to Multiple Objects,
2022年暗号と情報セキュリティシンポジウム (SCIS2022) 予稿集,
2022
[detail]
abstract
近年の偽造品や海賊版製品の取引の増加に伴い,取引の正当性を検証可能にする技術の必要性が高まっており,その1つとして電子署名がある.
しかしながら,従来の電子署名方式では,電子データではない物体そのものに対しての署名作成はできない.
そこで,林ら(CSS2021)により,物体の加工や電子データへの変換といった物理的な操作を取り扱うことが可能な枠組みを定式化することで,
任意の物体を対象とした「モノの電子署名」が提唱された.
しかし,「モノの電子署名」は一物体のみに対して加工,変換を施すことを想定しているため,
本稿ではこの枠組みを複数物体においても動作するよう拡張し,より実システムに近い形での署名方式を与える.
特に,サプライチェーンの各ステップにおいて物体の生成,加工,組み合わせのいずれかが可能であるという状況のもとで,
各物体に対してそれがどのような変遷をたどってきたかを保証する署名を付与できるモデルを導入する.
さらに,その安全性定義,およびAppend-Only署名と集約署名を用いた一般的構成を提案し,簡単な概念実証も行う.
-
林リウヤ,
浅野泰輝,
林田淳一郎,
松田隆宏,
山田翔太,
勝又秀一,
坂井祐介,
照屋唯紀,
シュルツヤコブ,
アッタラパドゥンナッタポン,
花岡悟一郎,
松浦幹太,
松本勉.
モノの秘匿性を考慮した「モノの電子署名」.
"Signature ofr Objects" with Object Privacy,
2022年暗号と情報セキュリティシンポジウム (SCIS2022) 予稿集,
2022
[detail]
abstract
物体の偽造に対する安全性の暗号学的な評価手法として「モノの電子署名」が提案されている.
これは電子署名方式の一種であるが,従来の電子署名とは異なりメッセージだけでなく物体にも署名できる方式となっている.
ここでは安全性として偽造不可能を表す EUF-COA が定義されている.
モノの電子署名方式の特徴の一つに,署名された物体は物理空間で送られ,署名自体はサイバー空間で送信されることが挙げられる.
ここで,署名を入手した悪意のある人が署名単体から対応する物体を特定できてしまうと,
その署名を用いて検証が通過するような,署名されていない物体を生成可能である恐れがある.
このとき生成された物体は検証者に正当なものとみなされてしまう.
これを防ぐために新たな安全性としてモノの秘匿性を定義する.
モノの秘匿性は署名単体から対応する物体が特定できないという安全性を表す.
本稿ではモノの秘匿性の安全性定義を行い,EUF-COA 安全性とモノの秘匿性の両方を満たす構成を示す.
具体的には,EUF-COA 安全性は基盤とする電子署名方式における EUF-CMA 安全性と確率的ハッシュにおける衝突困難性に帰着でき,
モノの秘匿性は Relational Hash における偽造不可能性に帰着できることを示す.
-
林リウヤ,
浅野泰輝,
林田淳一郎,
松田隆宏,
山田翔太,
勝又秀一,
坂井祐介,
照屋唯紀,
シュルツヤコブ,
アッタラパドゥンナッタポン,
花岡悟一郎,
松浦幹太,
松本勉.
モノの電子署名:物体に署名するための一検討,
Signature for Objects: Formalization,
Security Definition,
and Provably Secure Constructions,
2021年コンピュータセキュリティシンポジウム(CSS2021)予稿集,
pp.
740-747,
2021
[detail]
abstract
従来の電子署名方式では,電子データでない物体に対して電子署名を作成することができない.
そこで,
物体への操作を暗号学的に定式化することで,
任意の物体を対象として作成が可能な電子署名である「モノの電子署名」を提案する.
物体への操作は,物体を加工して新たな物体を作り出す操作であるコマンドと,
物体を加工することなく電子データに変換する操作であるセンシングの2つに分けられる.
このうちセンシングは同じ物体からであっても実行されるたびに異なる電子データを返すが,
それに左右されることなく物体に対する有効な電子署名を作成できる方式が構成可能である.
本稿では,この方式が満たすべき安全性定義とそれを満たす構成を示す.
また,その構成の安全性が
基盤とする電子署名方式における選択文書攻撃に対する存在的偽造不可(EUF-CMA)に帰着できることも示す.
|
